Patches und Updates

• Die Ausnutzung einer Schwachstelle in einem Softwareprogramm gehört zu den drei häufigsten Einfallsvektoren von Ransomware-Gruppen.
• In der Regel ist diese Schwachstelle bereits vom Hersteller behobenen
• Darum sollten Updates unverzüglich nach der Bereitstellung eingespielt werden.
• Dies sollte idealerweise über zentrale Softwareverteilung erfolgen.
• Updates, die Schwachstellen von besonders exponierte Bereichen sollten prioisiert behandelt werden.
• z. B. Firewall Produkte, Webserver

Remote Zugänge

• Häufig versuchen Angreifer Ransomware über kompromittierte Remote-Zugänge auf Systemen zu installieren.
• Daher sollten auch der Zugriff von Außen abgesichert werden.
• In der Regel sollten diese nur über VPNs, zusammen mit einer Zwei-Faktor-Authentisierung, genutzt werden.
• Kein ungeschützes RDP von aussen.

E-Mails und Makros

• Die Darstellung von E-Mails sollte als Textdarstellung erfolgen.
• So können Webadressen in der Textdarstellung nicht mehr verschleiert werden.
• Wenn dies nicht möglich, sollte die Ausführung aktiver Inhalte bei Verwendung von HTML-Mails unterdrückt werden.
• Mitarbeitende sollten im Rahmen von Sensibilisierungsmaßnahmen praxisnah über die Risiken im Umgang mit Mails geschult werden.
• Folgende Einstellung sollten für den Umgang mit MS-Office-Dokumenten-Makros auf dem Client konfiguriert werden:
  • JS/VBS: automatisches Ausführen bei Doppelklick verhindern
  • Makros im Client (per Gruppenrichtlinie) deaktivieren
  • Vertrauenswürdige Orte für Makros im AD konfigurieren
  • Signierte Makros verwenden

Ausführen von Programmen

• Ein Großteil aller Infektionen könnte verhindert werden, wenn die Ausführung unerwünschter Software grundsätzlich verhindert wird.
• Dazu existieren eine ganze Reihe an Maßnahmen.
• Die wichtigste dabei ist das sogenannte "Application Whitelisting".
• Wenn dies zu Aufwendig ist sollte "Application Directory Whitelisting" eingesetzt werden.
• "Execution Directory Whitelisting" sollte mindest eingestellt werden.
• Also ausführen von Dateien aus einem nicht beschreibbaren Verzeichnis

Virenschutz

• Neue Versionen von Schadsoftware werden nur selten sofort über lokale AV-Signaturen erkannt.
• Neue Varianten von Ransomware werden oft durch die Intrusion Prevention (IPS)-Module und Cloud-Dienste der AV-Software erkannt.
• Daher sollten bei Antivirensoftware diese Module genutzt werden.

Administrator Accounts

• Grundsätzlich sollten mit privilegierten Accounts nur Administratorentätigkeiten durchgeführt werden.
• Es sollten mit diesen Accounts keine E-Mails gelesen und nicht im Internet gesurft werden.
• Dafür benötigen Administratoren normale Nutzerkonten.
• Dies sollte technisch durchgesetzt werden.
• Ein solches privilegiertes Konto sollte immer über eine Zwei-Faktor-Authentisierung geschützt werden.
• Für die Administration von Clients sollten keine Domänen-Administrationskonten verwendet werden.

Netzwerk segmentieren

• Eine saubere Netzsegmentierung hilft Schäden zu begrenzen, da die Ransomware damit nur die Systeme in unmittelbarer Nachbarschaft erreichen kann.

Backups und Datensicherungskonzept

• Ein Backup ist die wichtigste Schutzmaßnahme, mit der im Falle eines Ransomware-Vorfalls die Verfügbarkeit der Daten gewährleistet werden kann.
• Die Daten müssen in einem Offline-Backup gesichert werden.
• Diese Backups werden nach dem Backupvorgang von den anderen Systemen des Netzwerkes getrennt und sind daher vor Angriffen und Verschlüsselung geschützt.
• Zu einem Backup gehört auch immer die Planung und Vorbereitung des Wiederanlaufs und der Rücksicherung der Daten.
• Diese Planungen sollten auch einem Praxistest unterzogen werden, um Komplikationen und Herausforderungen in der Rücksicherung bereits vor einem Ernstfall zu erkennen.

Netzlaufwerke

• Nutzer sollten wichtige Daten immer auf Netzlaufwerken ablegen, die in eine zentrale Datensicherung eingebunden sind.
• Wichtige Dokumente sollten nie nur lokal abgelegt werden.
• Netzlaufwerke bieten als Vorteil, dass Zugriffsrechte auf Need-to-know Basis vergeben werden können.
• Auch ist es möglich, diese nachträglich zu verändern. So können zum Beispiel den Nutzern die Schreibrechte auf archivierte

Notfallplan

• Eine umfassende Notfallplanung sollte für das Worst-Case-Szenario existieren, in dem alle Systeme im Netzwerk verschlüsselt sind und ein Erpressungsschreiben vorliegt.
• Regelmäßige Übungen der Reaktions- und Wiederherstellungsprozesse sind entscheidend, um sicherzustellen, dass das Team effektiv auf einen Ransomware-Angriff reagieren kann.
• Die vorherige Identifikation aller geschäftskritischen Systeme ist essenziell, um eine gezielte und effiziente Reaktion auf einen potenziellen Angriff zu ermöglichen.
• Vorbereitung von alternativen Kommunikationsmöglichkeiten außerhalb des kompromittierten Netzwerks, um einen reibungslosen Informationsaustausch während eines Angriffs sicherzustellen.
• Wichtige Telefonnummern und Ansprechpartner sollten in physischer Form offline (Papier) vorgehalten werden, um im Ernstfall auf kritische Informationen zugreifen zu können.

Quellen

• https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Analysen-und-Prognosen/Ransomware-Angriffe/Top-10-Ransomware-Massnahmen/top-10-ransomware-massnahmen.html